Комплексная защита компьютерной сети ООО "Энергодата"

Оглавление
Введение
I. Аналитическая часть
1.1. Технико-экономическая характеристика предметной области и предприятия
1.1.1. Общая характеристика предметной области
1.1.2. Организационно-функциональная структура предприятия
1.2. Анализ рисков информационной безопасности
1.2.1 Идентификация и оценка информационных активов
1.2.2. Оценка уязвимостей активов
1.2.3. Оценка угроз активам
1.2.4. Оценка существующих и планируемых средств защиты
1.2.5. Оценка рисков
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии
1.3.1. Выбор комплекса задач обеспечения информационной безопасности
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации
1.4. Выбор защитных мер
1.4.1. Выбор организационных мер
1.4.2. Выбор инженерно-технических мер
II Проектная часть
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия
2.2.2. Контрольный пример реализации проекта и его описание
III Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта
Заключение
Список литературы
Приложение 1 – Инструкция сотрудника службы безопасности
Приложение 2 – Инструкция администратора сети
Приложение 3 – Инструкция специалиста по ИБ

измерения)Стоимость, всего (руб.)1Резервные носители информации80003240002Резервные рабочие станции20000102000003Резервные сервера80000180000Стоимость проведения мероприятий инженерно-технической защиты304000Объем постоянного ресурса, выделяемого на защиту информации441000Суммарный объем выделенного ресурса составил: 110200+441000=551200 рублей.Рассчитанная величина ущерба составила: 1562000 рублей.Тем не менее, часть угроз является маловероятными и ими можно пренебречь, таковыми, например, являются стихийные бедствия (потопы, ураганы).Величина потерь для активов предприятия после внедрения системы ИБ приведена в таблице.Таблица 3.6Величины потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информацииАктивУгрозаВеличина потерь (тыс.руб.)Инструкции по безопасностиНамеренное повреждение400Кража60Информация о сделкахКража70Несанкционированное использование носителей данных40Нелегальное проникновение злоумышленников50Ошибка операторов60Персональные данные клиентовКража60Персональные данные сотрудниковКража60Сервер БДНамеренное повреждение60Вредоносное программное обеспечение30Неисправности в системе электроснабжения150Аппаратные отказы150Ошибка обслуживающего персонала4Ошибка при обслуживании4Программные сбои4Ошибка операторов4Сбои в функционировании услуг связи4Колебания напряжения4Затопление30Продолжение Таблицы 3.6Система UEWWSНамеренное повреждение10Кража10Вредоносное программное обеспечение10Ошибка операторов6Ошибка обслуживающего персонала2Ошибка при обслуживании2Программные сбои2Сбои в функционировании услуг связи2Система UEWWSНамеренное повреждение10Кража10Вредоносное программное обеспечение10Ошибка операторов6Ошибка обслуживающего персонала2Ошибка при обслуживании2Программные сбои2Сбои в функционировании услуг связи2Суммарная величина потерь1332Динамику величин потерь за 2 года с использование СЗИ и без использования СЗИ приведена в таблице 3.7.Таблица 3.7Оценка динамики величин потерь1 кв.2 кв.3 кв.1 год1 кв.2 кв.3 кв.2 годДо внедрения СЗИ390,57811171,515621952,523432733,53124После внедрения СЗИ33366699913321665199823312664Снижение потерь57,5115172,5230287,5345402,5460Таким образом, период окупаемости, рассчитываемый по формуле Ток = R∑ / (Rср – Rпрогн) (3.3)Составляет Ток = 551200 / (1757250 - 1562000) = 551200 / 195250= 2 годаНа рисунке 3.1 приведена динамика потерь.Рис. 3.1 - Динамика потерьЗаключениеЦелью данной работы является разработка проекта системы защиты компьютерной сети компании «Энергодата».В ходе дипломного проектирования решались следующие задачи:Проведен анализ деятельности компании «Энергодата»; Проведен анализ активов компании и отранжировать их;Проведен анализ угроз и уязвимостей для каждого актива;Проведен анализ программно-технической архитектуры компании;Проведен анализ существующих технических средств охраны;Проведен перечень решений по правовому, инженерному и организационному обеспечению ИБ;В первой главе рассмотрена деятельность компании «Энергодата» - сети гипермаркетов бытовой техники. Описана организационная структура организации. Осуществлен анализ программно-технической архитектуры с учетом существующих СЗИ.Составлен перечень наиболее важных активов компании, активы отранжированы по степени ценности.Для данного перечня активов осуществлен анализ уязвимостей и угроз.Осуществлена оценка рисков.Также осуществлен выбор защитных мер по обеспечению информационной безопасности компании.Во второй главе рассмотрены отечественные и зарубежные нормативные акты в области информационной безопасности. Осуществлен выбор нормативных актов необходимых для разработки системы ИБ компании «Энергодата».Разработан перечень внутренних документов по ИБ.Определен перечень организационно-административных мероприятий. Описан комплекс программно-технических средств обеспечения информационной безопасности.В третьей главе осуществлено финансово-экономическое обоснование разработки и внедрения проекта информационной безопасности компании «Энергодата».Выбрана методика оценки экономической эффективности. Рассчитаны показатели экономической эффективности.Период окупаемости составил 2 года.Список литературыКозлачков П.С., Основные направления развития систем информационной безопасности. – М.: финансы и статистика, 2004.- 736 с. Леваков Г.Н., Анатомия информационной безопасности. – М.: ТК Велби, издательство Проспект, 2004.- 256 с. Герасименко В.А. Защита информации в автоматизированных системах обработки данных.— М., 1993. Ч. 1,2.Горбатов В.С, Кондратьева Т. А. Информационная безопасность. Основы правовой защиты. — М., 1993.Соколов Д.Н., Степанюк А. Д., Защита от компьютерного терроризма. – М.: БХВ-Петербург, Арлит, 2002.- 456 с.Сыч О.С., Комплексная антивирусная защита локальной сети. – М.: финансы и статистика, 2006.- 736 с. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г. [Электронный ресурс]. – Режим доступа: http://www.fstec.ru/Герасименко В.А., Малюк А.А. Основы защиты информации. - М. 2003. - 537 С. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. – М.: Горячая линия – Телеком, 2000. - 452 с. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. – 340 с.Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. Под ред. В.Ф. Шаньгина. - 2-е изд., перераб. и доп. - М.: Радио и связь, 2001. - 376 с.Теория и практика информационной безопасности", под ред. П.Д. Зегжды. М,: изд-во “Яхтсмен". 2001. – 192 с.Теренин А.А. Информационные уязвимости интернет-проектов электронной торговли. Доклады международной конференции “Информационные средства и технологии”, том 2, г. Москва, 16-18 октября 2001. - 70-74 с.Теренин А.А., Мельников Ю.Н. Создание защищенного канала в сети. Материалы семинара “Информационная безопасность – юг России”, Таганрог, 28-30 июня 2000.Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных».Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне».Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера».Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».Закон РФ от 21 июля 1993 г. N 5485-I «О государственной тайне».Приложение 1 – Инструкция сотрудника службы безопасностиУТВЕРЖДАЮГенеральный директорООО «Энергодата»(подпись)(и.о. фамилия)«____» ______________ 20__ г.ДОЛЖНОСТНАЯ ИНСТРУКЦИЯсотрудника службы безопасности1. Общие положения1.1. Относится к категории технических исполнителей.1.2. Назначение и увольнение с должности охранника производится по приказу генерального директора организации по представлению начальника службы безопасности.1.3. Охранник подчиняется непосредственно начальнику службы безопасности и его заместителю.1.4. Во время вынужденного отсутствия должностные обязанности делегируются другому охраннику или сторожу по приказу генерального директора организации.1.5. Охранник должен знать:действующее законодательство РФ, относящееся к деятельности охранных служб;инструкции пропускного режима, виды и внешние признаки различных пропусков, товарных накладных, способы отличить поддельный документ от подлинного;знать внешние отличия подписей должностных лиц, в компетенции которых давать разрешения на въезд, выезд, вход и выход с территории охраняемого объекта;правила проверок грузов, провозимых на автотранспорте;порядок задержания подозрительных лиц и правонарушителей, порядок их передачи милицейскому патрулю;методы использования пожарно-охранных систем, виды противопожарной защиты;порядок инвентаризации помещений, сдачи и принятия охранного караула;порядок действия при возникновении чрезвычайных ситуаций.1.6. Охранник руководствуется в своей деятельности:действующим законодательством Российской Федерации;Правилами внутреннего рабочего распорядка и трудовой дисциплины, а также иными актами, принятыми внутри компании, и регулирующими деятельность охранной службы;приказами и распоряжениями начальников;данной Инструкцией.2. Функциональные обязанности охранникаОхранник обязан:2.1. Охранять объекты материальной собственности и ценности организации.2.2. Проверять документы у лиц, проникающих на территорию предприятия и покидающих ее. Проводить осмотр подозрительных грузов, ввозимых и вывозимых с территории предприятия. Проверять путевые листы, товарные накладные и другие сопроводительные документы. Давать разрешения на въезд или выезд только после того, как удостоверился в подлинности пропускных документов.2.3. Контролировать исправность и наличие средств пожаротушения, сигнализаций, замков и т.д. Незамедлительно сообщать начальнику службы безопасности о выявленных нарушениях. 2.4. Реагировать на сигналы тревожных сирен, принимать меры по выяснению причин срабатывания сигнализации и систем оповещения.2.5. Участвовать в задержании преступников и правонарушителей.2.6. При получении сигнала тревоги блокировать подъездные пути к территории предприятия, перекрыть выходы и входы и дожидаться наряда охраны или милиции.2.7. Применять табельное оружие при возникновении угрозы жизни и здоровья охранника или иных лиц, а также при незаконном проникновении третьих лиц на территорию охраняемого объекта.3. Права охранникаОхранник имеет право:3.1. Запрашивать и получать документацию, которая регулирует деятельность охранника на данном объекте.3.2. Предлагать руководителю меры по усилению безопасности на объекте и повышению эффективности работы охранных служб в рамках своей компетенции. 3.3. Требовать официального оформления в соответствии с положениями действующего трудового законодательства и создания нормальных условий труда.4. Ответственность охранникаОхранник несет ответственность:4.1. За уклонение от выполнения или халатное выполнение функциональных обязанностей охранника.4.2. За несоблюдение указов, инструкций и поручений руководства.4.3. За нарушение правил внутреннего трудового распорядка, трудовой дисциплины, правил техники безопасности, охраны труда и противопожарной безопасности. При превышении должностных полномочий и неправомерном использовании табельного оружия в рамках мер, предусмотренных гражданским и уголовным Кодексом РФ.СОГЛАСОВАНО:Руководительструктурного подразделения: ______________________________________________________(подпись)__________________________________(ФИО)Начальникюридического отдела: _____________________________________________________________(подпись) __________________________________(ФИО)С инструкцией ознакомлен: ________________________________________________________(подпись) __________________________________ (ФИО)Приложение 2 – Инструкция администратора сетиУТВЕРЖДАЮГенеральный директорООО «Энергодата»(подпись)(и.о. фамилия)«____» ______________ 20__ г.ДОЛЖНОСТНАЯ ИНСТРУКЦИЯАдминистратора сетиI. Общие положения1. Системный администратор относится к категории специалистов.2. На должность системного администратора назначается лицо, имеющее профильное профессиональное образование, опыт технического обслуживания и ремонта персональных компьютеров и оргтехники, знающее основы локальных сетей (стек протоколов TCP/IP, сетевое оборудование, принципы построения локальных вычислительных сетей).3. Системный администратор должен знать:3.1.Технические характеристики, назначение, режимы работы, конструктивные особенности, правила технической эксплуатации оборудования локальных вычислительных сетей, оргтехники, серверов и персональных компьютеров.3.2. Аппаратное и программное обеспечение локальных вычислительных сетей.3.3. Принципы ремонта персональных компьютеров и оргтехники.3.4. Языки и методы программирования.3.5. Основы информационной безопасности, способы защиты информации от несанкционированного доступа, повреждения или умышленного искажения.3.6. Порядок оформления технической документации.3.7. Правила внутреннего трудового распорядка.3.8. Основы трудового законодательства.3.9. Правила и нормы охраны труда, техники безопасности и противопожарной защиты.4. Назначение на должность системного администратора и освобождение от должности производится приказом директора по представлению руководителя отдела IT.5. Системный администратор подчиняется непосредственно руководителю отдела IT.II. Должностные обязанности системного администратораСистемный администратор:1. Устанавливает на серверы и рабочие станции операционные системы и необходимое для работы программное обеспечение.2.Осуществляет конфигурацию программного обеспечения на серверах и рабочих станциях.3.Поддерживает в работоспособном состоянии программное обеспечение серверов и рабочих станций.4.Регистрирует пользователей локальной сети и почтового сервера, назначает идентификаторы и пароли.5.Осуществляет техническую и программную поддержку пользователей, консультирует пользователей по вопросам работы локальной сети и программ, составляет инструкции по работе с программным обеспечением и доводит их до сведения пользователей.6.Устанавливает права доступа и контролирует использование сетевых ресурсов.7.Обеспечивает своевременное копирование, архивирование и резервирование данных.8.Принимает меры по восстановлению работоспособности локальной сети при сбоях или выходе из строя сетевого оборудования.9.Выявляет ошибки пользователей и программного обеспечения и принимает меры по их исправлению.10.Проводит мониторинг сети, разрабатывает предложения по развитию инфраструктуры сети.11.Обеспечивает сетевую безопасность (защиту от несанкционированного доступа к информации, просмотра или изменения системных файлов и данных), безопасность межсетевого взаимодействия.12.Осущестляет антивирусную защиту локальной вычислительной сети, серверов и рабочих станций.13.Готовит предложения по модернизации и приобретению сетевого оборудования.14.Осуществляет контроль за монтажом оборудования локальной сети специалистами сторонних организаций.15.Сообщает своему непосредственному руководителю о случаях нарушения правил пользования локальной вычислительной сетью и принятых мерах. III. Права системного администратораСистемный администратор имеет право:1.Устанавливать и изменять правила пользования локальной вычислительной сетью.2.Знакомиться с документами, определяющими его права и обязанности по занимаемой должности, критерии оценки качества исполнения должностных обязанностей.3.Вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с предусмотренными настоящей должностной инструкцией обязанностями.4.Требовать от руководства обеспечения организационно - технических условий, необходимых для исполнения должностных обязанностей. IV. Ответственность системного администратора1. Системный администратор несет ответственность за:1.1. Нарушение функционирования локальной вычислительной сети, серверов и персональных компьютеров вследствие ненадлежащего исполнения своих должностных обязанностей.1.2. Несвоевременную регистрацию пользователей локальной вычислительной сети и почтового сервера.1.3. Несвоевременное уведомление руководства о случаях нарушения правил пользования локальной вычислительной сетью.2. Системный администратор привлекается к ответственности:2.1. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей должностной инструкцией - в пределах, установленных действующим трудовым законодательством Российской Федерации.2.2. За правонарушения, совершенные в процессе своей деятельности - в пределах, установленных действующим административным, уголовным и гражданским законодательством Российской Федерации.2.3. За причинение материального ущерба компании - в пределах, установленных действующим законодательством Российской Федерации.Приложение 3 – Инструкция специалиста по ИБУТВЕРЖДАЮГенеральный директорООО «Энергодата»(подпись)(и.о. фамилия)«____» ______________ 20__ г.ДОЛЖНОСТНАЯ ИНСТРУКЦИЯСпециалиста по информационной безопасностиI. Общие положения1. На должность:- специалиста по защите информации назначается лицо, имеющее высшее профессиональное (техническое) образование без предъявления требований к стажу работы;- специалиста по защите информации II категории - лицо, имеющее высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации или других должностях, замещаемых специалистами с высшим профессиональным образованием не менее 3 лет;- специалиста по защите информации I категории - лицо, имеющее высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации II категории не менее 3 лет.2. Назначение на должность специалиста по защите информации и освобождение от нее производится приказом директора предприятия по представлению начальника отдела по защите информации.3. Специалист по защите информации должен знать:3.1. Законодательные акты, нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации.3.2. Специализацию предприятия и особенности его деятельности.3.3. Технологию производства в отрасли.3.4. Оснащенность вычислительных центров техническими средствами, перспективы их развития и модернизации.3.5. Систему организации комплексной защиты информации, действующей в отрасли.3.6. Методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки.3.7. Методы планирования и организации проведения работ по защите информации и обеспечению государственной тайны.3.8. Технические средства контроля и защиты информации, перспективы и направления их совершенствования.3.9. Методы проведения специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации.3.10. Порядок пользования реферативными и справочно-информационными изданиями, а также другими источниками научно-технической информации.3.11. Достижения науки и техники в стране и за рубежом в области технической разведки и защиты информации.3.12. Методы и средства выполнения расчетов и вычислительных работ.3.13. Основы экономики, организации производства, труда и управления.3.14. Основы трудового законодательства.3.15. Правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной защиты.4. Специалист по защите информации подчиняется непосредственно начальнику отдела по защите информации.5. На время отсутствия специалиста по защите информации (отпуск, болезнь, пр.) его обязанности исполняет лицо, назначенное в установленном порядке. Данное лицо приобретает соответствующие права и несет ответственность за надлежащее исполнение возложенных на него обязанностей. II. Должностные обязанности специалиста по защите информацииСпециалист по защите информации:1. Выполняет сложные работы, связанные с обеспечением комплексной защиты информации на основе разработанных программ и методик, соблюдения государственной тайны.2. Проводит сбор и анализ материалов учреждений, организаций и предприятий отрасли с целью выработки и принятия решений и мер по обеспечению защиты информации и эффективному использованию средств автоматического контроля, обнаружения возможных каналов утечки сведений, представляющих государственную, военную, служебную и коммерческую тайну.3. Анализирует существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывает предложения по их совершенствованию и повышению эффективности этой защиты.4. Участвует в обследовании объектов защиты, их аттестации и категорировании.5. Разрабатывает и подготавливает к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов.6. Организует разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации.7. Дает отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и сооружений и другие разработки по вопросам обеспечения защиты информации.8. Участвует в рассмотрении технических заданий на проектирование, эскизных, технических и рабочих проектов, обеспечивает их соответствие действующим нормативным и методическим документам, а также в разработке новых принципиальных схем аппаратуры контроля, средств автоматизации контроля, моделей и систем защиты информации, оценке технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений.9. Определяет потребность в технических средствах защиты и контроля, составляет заявки на их приобретение с необходимыми обоснованиями и расчетами к ним, контролирует их поставку и использование.10. Осуществляет проверку выполнения требований межотраслевых и отраслевых нормативных документов по защите информации.III. Права специалиста по защите информацииСпециалист по защите информации имеет право:1. Знакомиться с проектами решений руководства предприятия, касающихся его деятельности.2. Вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с предусмотренными настоящей инструкцией обязанностями.3. В пределах своей компетенции сообщать своему непосредственному руководителю о всех выявленных в процессе осуществления должностных обязанностей недостатках в деятельности предприятия (его структурных подразделениях) и вносить предложения по их устранению.4. Запрашивать лично или по поручению своего непосредственного руководителя от специалистов подразделений информацию и документы, необходимые для выполнения его должностных обязанностей.5. Привлекать специалистов всех (отдельных) структурных подразделений к решению задач, возложенных на него (если это предусмотрено положениями о структурных подразделениях, если нет - то с разрешения их руководителей).6. Требовать от своего непосредственного руководителя, руководства предприятия оказания содействия в исполнении им своих должностных обязанностей и прав. IV. Ответственность специалиста по защите информацииСпециалист по защите информации несет ответственность:1. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей должностной инструкцией - в пределах, определенных действующим трудовым законодательством Российской Федерации.2. За правонарушения, совершенные в процессе осуществления своей деятельности - в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.3. За причинение материального ущерба - в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации.